귀하의 질문에 대한 답변에는 어느 정도의 추측이 필요합니다. IPv6 배포는 아직까지 우리가 아직 모르고있을 정도로 충분히 적습니다. 위협 시나리오의 모양은 무엇입니까?
다수의 IPv6 주소는 고려해야 할 위협 시나리오에 여러 가지 변경 사항을 도입합니다.
우선 IPv4를 사용하면 공격자가 3 억 7 천만 개의 라우팅 가능한 IPv4 주소에서 취약한 서비스에 대한 기본 포트 번호를 검색 할 수 있습니다. IPv6에서는 이러한 대상이 지정되지 않은 공격을 실행할 수 없습니다. 여전히 당신이 볼 수있는 공격은보다 표적이되어야합니다. 이것이 공격 처리에서 많은 변화를 가져야한다는 것을 의미하는지 여부는 여전히 남아 있습니다.
로그 메시지를 기반으로 IP를 금지하는 주요 목적은 로그의 노이즈를 줄이고 시스템로드를 어느 정도 줄이는 것입니다. 익스플로잇에 대한 보호 역할을해서는 안됩니다. 약점을 알고있는 공격자는 차단이 시작되기 전에 내부에있을 수 있으므로 항상 필요했던 것처럼 취약점을 패치해야하는 것을 방지 할 수 있습니다.
개별 IPv6 주소를 금지하면 로그의 노이즈를 줄이기에 충분할 수 있습니다. 그러나 그것은 주어진 것이 아닙니다. 공격자가 모든 연결에 대해 사용 가능한 범위의 새 IP 주소를 사용할 가능성은 거의 없습니다. 공격자가 개별 IPv6 주소를 차단하는 것이 효과가 없을뿐만 아니라 방화벽 규칙에 모든 메모리를 사용하여 실수로 DoS 공격을 유발할 수도 있습니다.
각 개별 공격자가 사용할 수있는 접두사의 길이를 알 수 없습니다. 너무 짧은 접두사를 차단하면 합법적 인 사용자도 포함시켜 DoS 공격이 발생합니다. 너무 긴 접두사를 차단하면 효과가 없습니다. 암호 무차별 대입 시도는 특히 많은 클라이언트 IPv6 주소를 사용합니다.
공격자가 각 요청에서 IPv6 주소를 전환하지 못하도록 방지하고 메모리 사용을 줄이려면 범위를 차단해야하며 접두사 길이를 미리 알지 못하므로 접두사 길이를 동적으로 조정해야합니다.
휴리스틱을 이미 생각 해낼 수 있습니다. 우리가 아직 잘 모르는 정도
휴리스틱은 모든 접두사 길이마다 해당 길이의 접두사를 차단하는 데 걸리는 IP 수의 임계 값을 정의하는 것입니다. 더 긴 접두사로 충분하지 않은 경우 차단은 특정 길이로만 적용해야합니다. 즉, 실제로 블록을 시작하려면 두 개의 절반에 각각 개별적으로 차단 된 IP가 충분해야합니다.
예를 들어 / 48을 차단하려면 / 48을 구성하는 두 / 49 각각에 100 개의 차단 된 IP가 있어야한다고 결정할 수 있습니다. 접두사가 길수록 차단에 필요한 IP의 수가 적어 지지만 모든 경우에 두 절반에 걸쳐 분산되어야합니다.
/64
하나의 문제가있는 IP로 인해 전체를 차단 하면 합법적 인 사용자가 차단됩니다.